W miarę jak coraz więcej kluczowych dla funkcjonowania organizacji procesów odbywa się z wykorzystaniem technologii cyfrowych, zarządzanie i zabezpieczenie infrastruktury krytycznej firmy nabiera szczególnego znaczenia.
O tym, jaki niepokój może wywołać wyciek danych, mieliśmy okazję przekonać się pod koniec maja 2023 roku, gdy upubliczniono sześć milionów rekordów z loginami i hasłami użytkowników do popularnych serwisów w Polsce, w tym dwóch platform bankowych.
Badanie brytyjskiej firmy Sophos, rozwijającej m.in. oprogramowanie antywirusowe, wykazało, że w 2022 roku ofiarami ataków typu ransomware* padło aż 66% ankietowanych firm z 14 krajów na świecie, działających m.in. w takich gałęziach gospodarki, jak edukacja, ochrona zdrowia, produkcja, transport, a także branża retail i sektor finansowy. Wśród najczęściej wymienianych przyczyn ataków znalazły się luki w zabezpieczeniach (36%), naruszenia poufności haseł (29%) oraz złośliwe wiadomości e‑mail (18%). Prawie co trzeci atak wiązał się nie tylko z zablokowaniem dostępu do danych, ale również ich kradzieżą. Takie podejście złych aktorów*, czyli osób, które w sposób nielegalny próbują dostać się do zasobów organizacji, staje się powszechne, jako że pozwala znacząco podwyższyć wysokość okupu poprzez groźby upublicznienia skradzionych danych lub ich dalszej odsprzedaży.
W tym kontekście jednym z najważniejszych działań, jakie firmy mogą przedsięwziąć, żeby ograniczyć negatywne skutki ataku hakerskiego, jest regularne tworzenie i aktualizowanie kopii zapasowych. Aktualnie większość liczących się na rynku dostawców rozwiązań backupowych oferuje w swoich systemach funkcjonalność nienaruszalności kopii zapasowej (ang. Immutable backups). Umożliwia ona przywrócenie danych z backupu z jednoczesną gwarancją, że te nie zostały w żaden sposób naruszone, zaszyfrowane czy zmodyfikowane. Takie sejfy danych zapasowych są na wagę złota w przypadku ataków ransomware i powinny obecnie stanowić standard w systemach ochrony cybernetycznej firm.
Nowoczesne rozwiązania backupowe są rozszerzeniem typowego portfolio produktów IT wykorzystywanych w szeroko pojętym obszarze security organizacji. Do tego zbioru należą również zabezpieczenia firewall*, systemy detekcji i zapobiegania włamaniom (ang. Intrusion Prevention/Detection), oprogramowania antywirusowe i antymalwarowe* czy narzędzia wykrywające anomalie w zachowaniu użytkowników lub nieprawidłowości w sygnaturach plików. Oprócz rozwiązań technicznych ważnym elementem strategii ochrony organizacji przed zagrożeniami cybernetycznymi powinny być również regularne szkolenia pracowników, kampanie edukacyjne oraz opracowanie szczegółowych procedur postępowania na wypadek wystąpienia incydentu naruszenia bezpieczeństwa.
Rozporządzenie o cyfrowej odporności finansowej
Dla uchwycenia perspektywy warto zwrócić uwagę na skutki, jakie wywołać może awaria lub udany atak hakerski na firmę nieprzygotowaną na tego rodzaju zagrożenia. Szacuje się, że w przypadku instytucji finansowej, takiej jak na przykład bank, czas od wystąpienia incydentu do upadku organizacji spowodowanego niemożliwością prowadzenia biznesu opartego na kanałach elektronicznych jest liczony w dniach, a nawet godzinach. Mówiąc wprost firma, która nie powzięła odpowiednich działań prewencyjnych w obszarze cyberbezpieczeństwa i nie ma zabezpieczonego źródła danych, z których jest w stanie odtworzyć się w krótkim czasie, może w wyniku ataku być zmuszona ogłosić upadłość nawet w ciągu kilku dni.
Mając te szacunki na uwadze, Unia Europejska przyjęła z końcem 2022 roku rozporządzenie o cyfrowej odporności finansowej DORA (Digital Operational Resilience Act). Regulacja ta pomoże bankom, organizacjom ubezpieczeniowym, firmom inwestycyjnym i wielu innym podmiotom finansowym w UE zachować odporność i poprawić ciągłość działania w przypadku poważnych zakłóceń operacyjnych. Ustanawia jednolite wymogi dotyczące bezpieczeństwa sieci i systemów informatycznych ponad 22 tysięcy podmiotów finansowych w Unii Europejskiej.
DORA tworzy ramy nadzoru i kontroli nad cyfrową odpornością operacyjną, zgodnie z którymi wszystkie podlegające rozporządzeniu organizacje w UE muszą wykazać, w jaki sposób są w stanie odpowiednio reagować, przechodzić oraz odzyskiwać sprawność po wystąpieniu zagrożeń w zakresie IT. W związku z rosnącym ryzykiem cyberataków w ramach DORA instytucje te będą musiały w pełni zmienić sposób działania oraz procedury zgłaszania i reagowania na incydenty związane z zakłóceniami w ekosystemie technologicznym.
Gdy DORA w pełni wejdzie w życie, wymogi te będą jednolite we wszystkich państwach członkowskich UE. Podmioty objęte DORA mają czas do 17 stycznia 2025 r. na dostosowanie swojej działalności do przepisów. Choć może się wydawać, że czasu jest wiele, zakres wymaganych aktualizacji jest tak duży, że nie warto zwlekać z tym do ostatniej chwili. Tym bardziej że zagrożenia cybernetyczne są realne, a hakerzy tylko czyhają na dogodną okazję, by zaatakować.
SŁOWNICZEK POJĘĆ
Ransomware – oprogramowanie, które blokuje dostęp do systemu komputerowego lub uniemożliwia odczyt zapisanych w nim danych, a następnie żąda od ofiary okupu za przywrócenie stanu pierwotnego.
Zły aktor – cyberprzestępca lub organizacja, którzy zrobią wszystko, aby wykorzystać luki w zabezpieczeniach sieci w celu uzyskania korzyści finansowych, wykorzystując złośliwe oprogramowanie, oprogramowanie ransomware lub przechwytując komunikację.
Firewall (zapora sieciowa) – jeden ze sposobów zabezpieczania sieci i systemów przed intruzami. Termin ten może odnosić się zarówno do sprzętu komputerowego wraz ze specjalnym oprogramowaniem, jak i do samego oprogramowania blokującego niepowołany dostęp do komputera, na którego straży stoi.
Malware (złośliwe oprogramowanie, szkodliwe oprogramowanie) – ogół programów o szkodliwym działaniu w stosunku do systemu komputerowego lub jego użytkownika.
